DSGVO – Datenpanne, Tipps zur Meldung und Vorgehen

 

Eine Datenpanne in einem Unternehmen ist schnell passiert. Eine Vielzahl von klassischen Datenpannen sind möglich. Angefangen vom Versand einer E-Mail in einem offenen Verteiler oder die Versendung von sensiblen Daten.

Man denke hier beispielsweise nur an den Versand einer Gehaltsabrechnung an eine falsche E-Mailadresse. Für eine Datenpanne kann aber auch ein Cyberangriff verantwortlich sein. Unabhängig davon um was für eine Datenpanne es sich handelt, in der Regel kann man sie nicht rückgängig machen. Der Schweregrad der Datenpanne und die damit verbundenen Folgen, können sich dabei erheblich unterscheiden.

Doch was ist zu tun

Wenn eine Datenpanne auftritt, stellt sich zwangsläufig eine Frage: Was ist zu tun? Grundsätzlich ist in diesem Fall die Datenschutzgrundverordnung maßgeblich. Diese Verordnung, kurz DSGVO macht hier klare Vorgaben. Doch bevor wir darauf näher eingehen, noch ein Hinweis. Dieser Artikel soll im Zusammenhang mit der Datenschutzgrundverordnung nur eine Orientierung geben. Was letztlich bei eienr Datenpanne zu tun ist, hängt wesentlich immer auch vom Einzelfall ab. Hier empfiehlt es sich, im Zweifelsfall Hilfe beim Datenschutzbeauftragten zu holen. Dieser kann auch Auskunft geben, ob es sich um eine meldepflichtige Datenpanne nach Artikel 33 der DSGVO sich handelt oder nicht.

Analyse und Ergebnisermittlung – ist Datenpanne meldepflichtig?

Wenn eine Datenpanne auftritt, muss im ersten Schritt eine Analyse der Datenpanne erfolgen. Im Rahmen der Analyse muss ermittelt werden, wie groß die Datenpanne ist. Wichtig bei der Analyse ist die Schnelligkeit. Handelt es sich nämlich um eine meldepflichtige Datenpanne, muss eine Meldung an die Aufsichtsbehörden erfolgen. Dabei gilt eine 72-Stunden Frist ab Kenntnis der Datenpanne, bis eine Meldung erfolgen muss. Hinsichtlich der Frist muss noch eines erwähnt. Leider legen die verschiedenen Aufsichtsbehörden zum Datenschutz, die 72-Stunden Frist unterschiedlich aus. Der Regelfall ist die Kenntnisnahme von der Datenpanne. Maßgeblich ob es sich um eine meldepflichtige Panne handelt, hängt davon ab, ob es personenbezogene Daten zum einen betrifft und ob ein Risiko für die Betroffenen besteht. Werden zum Beispiel persönliche Daten wie Name, Anschrift und weitere Daten im Rahmen von einem Cyberangriff erbeutet, handelt es sich um eine meldepflichtige Datenpanne nach Art. 4 Nr. 12 der Datenschutzvorschriften. Die Meldung ist aber nur ein Schritt bei den Maßnahmen, ein weiterer ist auch die Informierung der Betroffenen über die Datenpanne.

Meldung an welche Aufsichtsbehörde

Da es 17 verschiedene Aufsichtsbehörden zum Datenschutz gibt, stellt sich zwangsläufig die Frage welche Aufsichtsbehörde zuständig ist. Neben den Aufsichtsbehörden in den Bundesländern, gibt es auch eine Datenschutzaufsichtsbehörde des Bundes (kurz BfDI). Maßgeblich bei der Zuständigkeit, ist der Sitz vom betroffenen Unternehmen.

Meldeformular auffinden und ausfüllen

Die Zuständigkeit der Aufsichtsbehörde ist nicht unerheblich bei einer Datenpanne. Da man das passende Meldeformular auffinden und ausfüllen muss. Das jeweilige Meldeformular findet man auf der Internetseite der zuständigen Aufsichtsbehörde. Leider können sich die Meldeformulare unterscheiden. Aus diesem Grund ist es wichtig, immer das richtige Meldeformular zu nehmen. Beim Ausfüllen vom Meldeformular, gibt es verschiedene Punkte zu beachten.

Wichtige Punkte zur Darlegung des Sachverhaltes

Zu den wichtigen Punkten beim Ausfüllen von einem Meldeformular, gehören:

– Was für eine Datenpanne liegt vor?
– Wie kam es zur Datenpanne?
– Wo kam es zur Datenpanne?
– Wer ist von der Datenpanne betroffen?
– Welche Maßnahmen wurden schon ergriffen?

Neben Fragen die man beantworten muss, gibt es in der Regel auch Freifelder. In diesen kann man weitere Angaben zur Datenpanne machen. Hier vor allem zu weiteren Maßnahmen die man ergriffen hat. Je nach Aufsichtsbehörde erfolgt der Versand der Meldung per E-Mail oder aber auch über den Postweg. Wichtig in diesem Zusammenhang ist die Dokumentation für die Akte. Das betrifft nicht nur die Meldung, sondern vor allem auch alle Maßnahmen. Dazu gehört auch das Vorgehen nach der Meldung der Datenpanne. Ob und wie die Aufsichtsbehörde auf die Meldung reagiert, hängt immer vom Einzelfall und dem damit verbundenen Schweregrad der Datenpanne ab. Die Reaktion kann von einer einfachen Empfangsbestätigung, bis hin zu einer mündlichen Kontaktaufnahme reichen.

Fazit:

Kommt es zu einer Datenpanne ist ein schnelles Handeln erforderlich. Das betrifft zum einen die Analyse der Datenpanne und die Ergebnisermittlung – ist Datenpanne meldepflichtig. Liegt eine Meldepflicht gegenüber der Aufsichtsbehörde vor, muss unbedingt auf die Frist von 72 Stunden geachtet werden. Damit es bei der Meldung nicht zu einem Fehler kommt, empfiehlt sich frühzeitig die Einbindung vom Datenschutzbeauftragten. Beachtet man diese Hinweise, ist man in der Regel als Unternehmen auf der sicheren Seite bei einer Datenpanne und den daraus folgenden Pflichten.

 

Beratung über Max2-Consulting GmbH:

 

Max2-Consulting GmbH bietet Datenschutzlösungen für alle Unternehmen. Der Gründer und Geschäftsführer ist TÜV-geprüfter Datenschutzauditor, Datenschutzbeauftragter (IHK) und außerdem als Datenschutzberater tätig.

Haben Sie Fragen, wir helfen gerne: https://datenschutzbeauftragter-dsgvo.com/